Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för: Advanced Threat Analytics version 1.9
ATA Health Center meddelar dig när det är problem med ATA-distributionen genom att skapa en hälsoavisering. Den här artikeln beskriver alla hälsoaviseringar för varje komponent och visar orsaken och de steg som krävs för att lösa problemet.
PROBLEM med ATA Center
Center får slut på diskutrymme
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| Det lediga utrymmet på ATA Center-datorenheten som används för att lagra ATA-databasen börjar bli lågt. | Det innebär att hårddisken har mindre än 200 GB ledigt utrymme eller att det finns mindre än 20% ledigt utrymme, beroende på vilket som är mindre. När ATA ser att enheten har ont om utrymme börjar den ta bort gamla data från databasen. Om den inte kan ta bort gamla data eftersom den fortfarande behöver data för identifieringsmotorn får du den här aviseringen. När du får den här aviseringen slutar ATA att hålla reda på nya aktiviteter. | Öka diskens storlek eller frigör utrymme från disken. | Hög |
Det gick inte att skicka e-post
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| ATA kunde inte skicka ett e-postmeddelande till den angivna e-postservern. | Inga e-postmeddelanden skickas från ATA. | Kontrollera SMTP-serverkonfigurationen. | Low |
Centrum överbelastat
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| ATA Center kan inte hantera mängden data som överförs från ATA-gatewayerna. | ATA Center slutar analysera ny nätverkstrafik och händelser. Det innebär att noggrannheten för identifieringarna och profilerna minskar medan den här hälsoaviseringen är aktiv. | Se till att du har angett tillräckligt med resurser för ATA Center. Mer information finns i ATA-kapacitetsplanering. Undersök prestanda för ATA Center med felsök ATA med hjälp av prestandakontrollerna. | Hög |
Det gick inte att ansluta till SIEM-servern med Syslog
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| ATA kunde inte skicka händelser till angivet SIEM. | Det innebär att ATA Center inte kan skicka misstänkta aktiviteter och hälsoaviseringar till din SIEM. | Kontrollera att syslog-serverinställningarna är korrekt konfigurerade. | Low |
Centercertifikatet håller på att upphöra.
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| ATA Center-certifikatet upphör att gälla om mindre än tre veckor. | När certifikatet har upphört att gälla: Anslutningen från ATA Gateways till ATA Center misslyckas. ATA Center-processen kraschar och alla ATA-funktioner stoppas. | Ersätt ATA Center-certifikatet | Medium |
ATA Center-certifikatet har upphört att gälla
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| ATA Center-certifikatet har upphört att gälla. | När certifikatet har upphört att gälla: Anslutningen från ATA-gatewayerna till ATA Center misslyckas. ATA Center-processen kraschar och alla ATA-funktioner stoppas. | Återdistribuera ATA Center | Hög |
PROBLEM med ATA Gateway
Skrivskyddat användarlösenord upphör snart att gälla
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| Det skrivskyddade användarlösenordet, som används för att lösa entiteter mot služba Active Directory, upphör snart att gälla om mindre än 30 dagar. | Om lösenordet för den här användaren upphör att gälla slutar alla ATA-gatewayer att köras och inga nya data samlas in. | Ändra lösenordet för domänanslutningen och uppdatera lösenordet i ATA-konsolen. | Medium |
Skrivskyddat användarlösenord har upphört att gälla
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| Det skrivskyddade användarlösenordet som används för att hämta katalogdata har upphört att gälla. | Alla ATA-gatewayer slutar att köras (eller kommer att sluta köras snart) och inga nya data samlas in. | Ändra lösenordet för domänanslutningen och uppdatera lösenordet i ATA-konsolen. | Hög |
Gatewaycertifikatet upphör snart att gälla
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| ATA Gateway-certifikatet upphör att gälla om mindre än tre veckor. | Anslutningen från den specifika ATA-gatewayen till ATA Center misslyckas. Inga data från ata-gatewayen skickas. | ATA Gateway-certifikatet bör ha förnyats automatiskt. Läs ATA Gateway- och ATA Center-loggarna för att förstå varför certifikatet inte förnyades automatiskt. | Medium |
Gatewaycertifikatet har upphört att gälla
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| ATA Gateway-certifikatet har upphört att gälla. | Det finns ingen anslutning från den här ATA-gatewayen till ATA Center. Inga data från ata-gatewayen skickas. | Avinstallera och installera om ATA Gateway. | Hög |
Domänsynkronisering har inte tilldelats
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| Ingen domänsynkroniserare har tilldelats till någon ATA-gateway. Detta kan inträffa om det inte finns någon ATA Gateway konfigurerad som domänsynkroniseringskandidat. | När domänen inte synkroniseras kan ändringar i entiteter leda till att entitetsinformation i ATA blir inaktuell eller saknas, men påverkar inte någon identifiering. | Kontrollera att minst en ATA Gateway har angetts som en domänsynkronisering. | Low |
Alla/vissa av fångstnätverksadaptrarna i en gateway är inte tillgängliga
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| Alla/några av de valda nätverkskorten för avbildning på ATA-gatewayen är inaktiverade eller frånkopplade. | Nätverkstrafik för vissa/alla domänkontrollanter registreras inte längre av ATA Gateway. Detta påverkar möjligheten att identifiera misstänkta aktiviteter som är relaterade till dessa domänkontrollanter. | Kontrollera att de valda inspelningsnätverkskorten på ATA Gateway är aktiverade och anslutna. | Medium |
Vissa domänkontrollanter kan inte nås av en gateway
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| En ATA Gateway har begränsade funktioner på grund av anslutningsproblem med några av de konfigurerade domänkontrollanterna. | Pass the Hash-detektering kan vara mindre exakt när vissa domänkontrollanter inte kan frågas av ATA Gateway. | Kontrollera att domänkontrollanterna är igång och att ata-gatewayen kan öppna LDAP-anslutningar till dem. | Medium |
Alla domänkontrollanter kan inte nås av en gateway
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| ATA Gateway är för närvarande offline på grund av anslutningsproblem för alla konfigurerade domänkontrollanter. | Detta påverkar ATA:s förmåga att identifiera misstänkta aktiviteter relaterade till domänkontrollanter som övervakas av den här ATA-gatewayen. | Kontrollera att domänkontrollanterna är igång och att ata-gatewayen kan öppna LDAP-anslutningar till dem. | Medium |
Gatewayen slutade kommunicera
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| Det har inte förekommit någon kommunikation från ATA Gateway. Standardtidsintervallet för den här aviseringen är 5 minuter. | Nätverkstrafiken registreras inte längre av nätverkskortet på ATA Gateway. Detta påverkar ATA:s förmåga att identifiera misstänkta aktiviteter, eftersom nätverkstrafiken inte kommer att kunna nå ATA Center. | Kontrollera att porten som används för kommunikationen mellan ATA Gateway och ATA Center-tjänsten inte blockeras av några routrar eller brandväggar. | Medium |
Ingen trafik har tagits emot från domänkontrollanten
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| Ingen trafik togs emot från domänkontrollanten via den här ATA-gatewayen. | Detta kan tyda på att portspegling från domänkontrollanterna till ATA Gateway inte har konfigurerats ännu eller inte fungerar. | Kontrollera att portspegling har konfigurerats korrekt på dina nätverksenheter. Inaktivera dessa funktioner i Avancerade inställningar på ATA Gateway Capture NIC: Sammankoppling av mottagarsegment (IPv4) Sammankoppling av mottagarsegment (IPv6) |
Medium |
Vissa vidarebefordrade händelser analyseras inte
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| ATA Gateway tar emot fler händelser än den kan bearbeta. | Vissa vidarebefordrade händelser analyseras inte, vilket kan påverka möjligheten att identifiera misstänkta aktiviteter som kommer från domänkontrollanter som övervakas av denna ATA Gateway. | Kontrollera att endast nödvändiga händelser vidarebefordras till ATA Gateway eller försök att vidarebefordra några av händelserna till en annan ATA-gateway. | Medium |
En del nätverkstrafik analyseras inte
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| ATA Gateway tar emot mer nätverkstrafik än den kan bearbeta. | En del nätverkstrafik analyseras inte, vilket kan påverka möjligheten att identifiera misstänkta aktiviteter som kommer från domänkontrollanter som övervakas av denna ATA Gateway. | Överväg att lägga till extra processorer och minne efter behov. Om det här är en fristående ATA Gateway minskar du antalet domänkontrollanter som övervakas. Detta kan också inträffa om du använder domänkontrollanter på virtuella VMware-datorer. För att undvika dessa aviseringar kan du kontrollera att följande inställningar är inställda på 0 eller Inaktiverade på den virtuella datorn: - TsoEnable – LargeSendOffload(IPv4) – IPv4 TSO-avlastning Överväg också att inaktivera IPv4 Giant TSO Offload. Mer information finns i VMware-dokumentationen. |
Medium |
Gateway-versionen är inaktuell
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| ATA Center är nyare än den version som installerats på ATA Gateway. Detta gör att ATA Gateway slutar fungera som förväntat. | Detta kan påverka möjligheten att identifiera misstänkta aktiviteter som kommer från domänkontrollanter som övervakas av den här ATA-gatewayen. | Uppdatera ATA Gateway till den senaste versionen automatiskt genom att aktivera automatisk uppdatering i ATA-konsolen eller genom att ladda ned det senaste ATA Gateway-paketet som är tillgängligt i ATA-konsolen. | Hög |
Gateway-tjänsten kunde inte starta
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| ATA Gateway-tjänsten kunde inte starta i minst 30 minuter. | Detta kan påverka möjligheten att identifiera misstänkta aktiviteter som kommer från domänkontrollanter som övervakas av den här ATA-gatewayen. | Granska ATA Gateway-loggar för att förstå grundorsaken till fel i ATA Gateway-tjänsten. | Hög |
Lättviktsgateway
Lightweight Gateway har nått en minnesresursgräns
| Avisering | Beskrivning | Lösning | Svårighetsgrad |
|---|---|---|---|
| Lightweight ATA Gateway stoppade sig själv och startar om automatiskt för att skydda domänkontrollanten från ett dåligt minnestillstånd. | Lightweight ATA Gateway tillämpar minnesbegränsningar på sig själv för att förhindra att domänkontrollanten upplever resursbegränsningar. Detta inträffar när minnesanvändningen på domänkontrollanten är hög. Data från den här domänkontrollanten övervakas endast delvis. | Öka mängden minne (RAM) på domänkontrollanten eller lägg till fler domänkontrollanter på den här webbplatsen för att bättre fördela belastningen på den här domänkontrollanten. | Medium |